CI/CD 파이프라인에 Snyk 추가 및 구성
빌드 파이프라인에서 Snyk을 게이트키퍼로 사용하면 설정한 "실패(fail)" 기준에 따라 새로운 취약점이 도입되는 것을 방지할 수 있습니다.
팀이 애플리케이션의 취약점을 이해하고 개발 주기 초기에 이를 수정하는 프로세스를 개발한 후에는, 취약점이 감지될 경우 빌드를 실패하도록 Snyk을 구성하여 애플리케이션에 취약점이 유입되는 것을 방지할 수 있습니다.
가져오기 요구 사항 없음
파이프라인에 테스트를 추가할 때의 장점은 소스 제어 통합을 사용하여 리포지토리를 Snyk으로 가져올 필요가 없다는 것입니다 (Snyk PR 확인에는 필요함). 또한 PR을 테스트하더라도 프로덕션 빌드에 새로운 취약점이 유입될 가능성을 더욱 줄이기 위해 추가 게이트로 사용할 수 있습니다.
파이프라인 옵션
빌드 파이프라인에 Snyk을 추가할 때 일반적으로 다음과 같은 옵션이 있습니다.
각 옵션에는 장점이 있습니다. 기존 파이프라인 통합을 사용하면 구성이 더 빠르고 쉬울 수 있지만, Snyk CLI를 사용하면 "실패" 기준에서 더 광범위한 옵션과 유연성을 얻을 수 있습니다.
파이프라인 테스트 필터
파이프라인에서 테스트를 실행할 때 테스트 통과 또는 실패를 결정하는 필터를 사용할 수 있습니다. 가장 일반적인 것은 "심각도 임계값(severity threshold)"으로, 높음(High) 또는 치명적(Critical) 심각도 취약점이 있는 경우에만 빌드를 실패하도록 지정할 수 있습니다.
CLI 지원 도구
파이프라인에서 Snyk CLI를 사용하는 경우, 일련의 지원 Snyk 도구가 추가 기능을 제공합니다. 여기에는 "높음 심각도 취약점이 3개 이상 발견되면 실패"와 같이 더 복잡한 "실패" 기준에 사용할 수 있는 snyk-filter가 포함됩니다.
참고 항목
CI/CD 확인을 더 자세히 다루고 이 기능을 점진적으로 도입하는 방법의 예시가 포함된 웨비나 링크입니다: CI/CD 모범 사례.
Last updated